Spørgsmål:
Upgrade-Usikker-anmodninger som et alternativ til HSTS
Mohammed Farhan
2018-01-25 13:26:30 UTC
view on stackexchange narkive permalink

Jeg har set, at websteder automatisk omdanner HTTP-anmodninger til HTTPS uden HTTP Strict Transport Security (HSTS) header.

Så lindrer følgende linje i anmodningen behovet for HSTS fuldt ud?

  Content-Security-Policy: upgrade-insecure-anmodninger;  
Hvad er dit spørgsmål?
Tre svar:
IamNaN
2018-01-25 13:47:54 UTC
view on stackexchange narkive permalink

Fra MDN:

Direktivet upgrade-insecure-requests sikrer ikke, at brugere, der besøger dit websted via links på tredje- festwebsteder opgraderes til HTTPS til topniveaunavigation og erstatter således ikke HSTS-overskriften (Strict-Transport-Security), som stadig skal indstilles med en passende maksimal alder for at sikre, at brugerne ikke er underlagt SSL-stripping angreb.

mybrave
2018-01-25 22:49:13 UTC
view on stackexchange narkive permalink

upgrade-insecure-anmodninger opgraderer enhver http-anmodning til https, når siden indlæses via https. Dette hjælper med at undgå problem med blandet indhold, men tvinger ikke siden til at blive indlæst via sikkert skema.

Flere detaljer kan findes på https://scotthelme.co.uk/migrating-from- http-til-https-lette-smerten-med-csp-og-hsts /

Macil
2018-01-26 00:58:48 UTC
view on stackexchange narkive permalink

De gør forskellige ting. Content-Security-Policy: upgrade-insecure-anmodninger påvirker din sides ressourcer til en enkelt session, inklusive ting, der er knyttet til på andre domæner. HSTS påvirker dit eget domæne, og din browser husker det.



Denne spørgsmål og svar blev automatisk oversat fra det engelske sprog.Det originale indhold er tilgængeligt på stackexchange, som vi takker for den cc by-sa 3.0-licens, den distribueres under.
Loading...